Configuración de MDM de IKEv2 para los dispositivos Apple
Puedes configurar una conexión VPN IKEv2 para un dispositivo iPhone, iPad o Mac inscrito en una solución de administración de dispositivos móviles (MDM). Selecciona IKEv2 y VPN siempre activa si deseas configurar una carga de modo que los dispositivos iPhone y iPad deban tener una conexión VPN activa para conectarse a cualquier red. Puedes configurar VPN siempre activa para redes celulares y de Wi-Fi de manera independiente o conjunta.
Puedes usar la configuración IKEv2 de la siguiente tabla con la carga útil VPN.
Configuración | Descripción | Necesario | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nombre de la conexión | El nombre visible de la conexión VPN. | Sí | |||||||||
Nombre de host | La dirección IP o el nombre de dominio completo (FQDN) del servidor VPN. | Sí | |||||||||
Identificador local | Normalmente, este valor coincide con la identidad del certificado del usuario/dispositivo (nombre alternativo del sujeto o nombre común del sujeto), ya que a veces la implementación del servidor requiere que estos valores coincidan para validar la identidad del cliente. | Sí | |||||||||
Identificador remoto | Este valor debe coincidir con la identidad del certificado del servidor (nombre alternativo del sujeto o nombre común del sujeto). Nota: si este valor no coincide con la identidad del certificado del servidor, la clave | Sí | |||||||||
VPN siempre activa (supervisado). | Activa VPN siempre activa para enviar todo el tráfico IP de vuelta a la empresa a través de un túnel. Se pueden configurar distintas configuraciones para Móvil y Wi-Fi. | No | |||||||||
Permitir la desactivación de las conexiones | Especifica si los usuarios pueden desactivar la conexión VPN siempre activa. | No | |||||||||
Usar misma configuración | Especifica si se debe usar la misma configuración para las redes Wi-Fi y celulares. | No | |||||||||
Autenticación del equipo | Las opciones disponibles son:
| No | |||||||||
Autenticación ampliada | Activa Extensible Authentication Protocol (EAP). Cuando esta opción está activada, selecciona uno de los siguientes métodos de autenticación:
Nota: deben usarse ambos métodos de autenticación para EAP–PEAP. | No | |||||||||
Desconectar si está inactivo | Las opciones disponibles son:
| No | |||||||||
Keepalive de NAT | Mantiene el envío de paquetes keepalive NAT al hardware mientras el dispositivo está en reposo, lo que mantiene la conexión activa a lo largo de los ciclos de reposo del dispositivo. Si la función keepalive de NAT está seleccionada, se debe definir un valor de intervalo. El mínimo es 20 segundos. | No | |||||||||
Velocidad de detección de punto inactivo | Frecuencia con la que se deben detectar las conexiones sin respuesta. Las opciones disponibles son:
| No | |||||||||
Redireccionamientos | Permite redirigir a otro servidor VPN. | No | |||||||||
Movilidad y multihoming | Permite mantener el dispositivo conectado a la red VPN en los siguientes casos:
| No | |||||||||
Atributos de subred interna IPv4 e IPv6 | Activa los túneles IPv4 y IPv6 para la conexión VPN. | No | |||||||||
Confidencialidad directa perfecta (PFS) | Activa PFS para la conexión VPN. Esta opción impide desencriptar sesiones pasadas. | No | |||||||||
Comprobación de revocación de certificados | Permite que el dispositivo compruebe si los certificados que recibe del servidor VPN se incluyen en una lista de revocación de certificados (CRL). | No | |||||||||
Parámetros de asociaciones de seguridad (SA) dinámicas | Permite configurar tanto los parámetros de IKE como los secundarios. Ambos valores requieren los atributos siguientes:
| No | |||||||||
Excepciones de servicio | Permite las excepciones del servicio para el buzón de voz, AirPrint, los mensajes MMS y los servicios móviles. Cada servicio se puede configurar para que utilice alguna de las siguientes opciones:
| No | |||||||||
Tráfico de portales web cautivos fuera del túnel VPN | Especifica si está permitido el tráfico desde portales web cautivos externos al túnel VPN. | No | |||||||||
Tráfico desde todas las apps de redes cautivas fuera del túnel VPN | Especifica si está permitido el tráfico desde apps que se conectan a redes remotas. Si la configuración está activada, se genera una lista de las apps (a continuación). | No | |||||||||
Identificadores del paquete de apps de red cautiva | Identifica las apps de red que están permitidas fuera del túnel VPN. Se identifican por el ID de paquete. | No | |||||||||
Direcciones del servidor DNS | La matriz de direcciones IP de servidores DNS como cadenas. Estas direcciones IP pueden ser una mezcla de direcciones IPv4 y IPv6. | No | |||||||||
Nombre de dominio principal | El nombre del dominio principal del túnel VPN. | No | |||||||||
Dominios de búsqueda DNS | La lista de cadenas de dominios que se usa para calificar los nombres de host de una sola etiqueta. | No | |||||||||
Dominios de combinación suplementarios DNS | La lista de cadenas de dominios utilizada para determinar qué consultas DNS usan la configuración del resolvedor DNS contenida en ServerAddresses. Esta clave se utiliza para crear una configuración DNS dividida en la que sólo los hosts de ciertos dominios se resuelven usando el resolvedor DNS del túnel. Los hosts que no están en uno de los dominios de esta lista se resuelven usando el resolvedor predeterminado del sistema. | No | |||||||||
Incluir dominios complementarios | Si es falso, agrega los dominios de la lista de dominios coincidentes suplementarios a la lista de dominios de búsqueda del resolvedor. | No | |||||||||
Variar la unidad máxima de transmisión (MTU) (en bytes) | El valor predeterminado es 1280. | No | |||||||||
Nota: cada proveedor de soluciones de MDM implementa esta configuración de manera diferente. Para obtener información sobre cómo aplicar a tus dispositivos y usuarios las diferentes opciones de la configuración IKEv2, consulta la documentación de tu proveedor de MDM.